Một chiến dịch quét hệ thống phức tạp nhắm mục tiêu vào các dịch vụ Remote Desktop Protocol (RDP) của Microsoft đã leo thang đột biến. Theo công ty tình báo mối đe dọa GreyNoise, vào ngày 24 tháng 8 năm 2024, hơn 30.000 địa chỉ IP duy nhất đã đồng thời dò quét các cổng RDP. Đây là một trong những hoạt động trinh sát RDP phối hợp lớn nhất được ghi nhận trong năm nay, thể hiện một hình thức tấn công mạng quy mô.

Hoạt động quét RDP quy mô lớn gia tăng đột biến

Diễn biến leo thang của chiến dịch

Chiến dịch bắt đầu thu hút sự chú ý của các nhà nghiên cứu bảo mật vào ngày 21 tháng 8. GreyNoise đã quan sát thấy một sự gia tăng chưa từng có trong hoạt động quét, nhắm vào các cổng xác thực Microsoft RD Web Access và RDP Web Client. Thông thường, các dịch vụ này chỉ ghi nhận khoảng 3-5 địa chỉ IP mỗi ngày. Tuy nhiên, sự xuất hiện đột ngột của 1.971 IP đã đánh dấu một sự bất thường rõ rệt, cao hơn nhiều lần so với mức bình thường, cho thấy một hoạt động tấn công mạng có tổ chức.

Đặc điểm nhận dạng và sự phối hợp

Điểm đáng lo ngại của chiến dịch này là tính chính xác và mức độ phối hợp cao. Mọi địa chỉ IP nhắm mục tiêu vào dịch vụ Microsoft RD Web Access đều đồng thời dò quét cổng Microsoft RDP Web Client. Điều này cho thấy một hoạt động tấn công mạng được tổ chức chặt chẽ chứ không phải là hành vi quét ngẫu nhiên. Tính đồng nhất còn thể hiện ở phương pháp tấn công: 1.851 trong số 1.971 IP chia sẻ cùng một chữ ký máy khách, gợi ý việc sử dụng một bộ công cụ duy nhất hoặc một botnet được điều phối.

Kỹ thuật khai thác RDP: Tấn công Timing để thu thập thông tin người dùng

Hoạt động quét tập trung đặc biệt vào việc xác định các lỗ hổng thời gian (timing vulnerabilities) trong quy trình xác thực RDP của Microsoft. Các cuộc tấn công bằng kỹ thuật timing này khai thác sự khác biệt tinh vi trong thời gian phản hồi của máy chủ. Từ đó, kẻ tấn công có thể xác định liệu tên người dùng được gửi có hợp lệ hay không, ngay cả khi không cung cấp mật khẩu chính xác. Đây là một phương pháp tấn công mạng tinh vi.

Phương pháp tấn công hai giai đoạn

Những kẻ tấn công đã sử dụng phương pháp hai giai đoạn. Đầu tiên, chúng xác định một cách có hệ thống các hệ thống hướng Internet đang phơi bày các dịch vụ RD Web Access hoặc RDP Web Client. Thứ hai, chúng kiểm tra các điểm cuối này để tìm các lỗ hổng thời gian xác thực có thể tiết lộ tên người dùng hợp lệ thông qua phân tích thời gian phản hồi.

Tầm quan trọng của việc liệt kê tài khoản

Kỹ thuật trinh sát này đặc biệt có giá trị cho những kẻ tấn công. Nó cho phép chúng xây dựng danh sách toàn diện các tài khoản người dùng hợp lệ trước khi tiến hành các cuộc tấn công mạng dựa trên thông tin đăng nhập. Việc liệt kê tài khoản một cách có phương pháp này tạo nền tảng cho các cuộc tấn công nhồi thông tin đăng nhập (credential stuffing), rải mật khẩu (password spraying) hoặc tấn công vét cạn (brute force) sau đó với tỷ lệ thành công cao hơn đáng kể.

Phân tích nguồn gốc và mục tiêu của chiến dịch tấn công mạng

Nguồn gốc địa lý và mục tiêu cụ thể

Sự phân bố nguồn gốc của các IP tấn công cho thấy các mô hình địa lý bị lệch nặng. Khoảng 73% trong số đó có nguồn gốc từ Brazil. Tuy nhiên, mục tiêu lại cực kỳ tập trung, với Hoa Kỳ là quốc gia mục tiêu duy nhất trong đợt tăng đột biến ban đầu vào ngày 21 tháng 8. Sự tập trung địa lý này cho thấy chiến dịch tấn công mạng có thể được thiết kế đặc biệt để khai thác cơ sở hạ tầng của Mỹ trong một khung thời gian được lựa chọn chiến lược.

Nhận diện các địa chỉ IP độc hại

Phân tích của GreyNoise tiết lộ rằng 92% các địa chỉ IP tham gia (1.698 trong số 1.851) đã bị gắn cờ là độc hại trong cơ sở dữ liệu tình báo mối đe dọa của họ. Ngoài ra, nhiều IP này còn thể hiện hành vi quét đa mục đích, cũng được gắn thẻ là máy quét proxy mở và trình thu thập dữ liệu web. Điều này cho thấy việc sử dụng các bộ công cụ tấn công đa năng phức tạp. Khả năng phát hiện tấn công sớm từ các nguồn tình báo là rất quan trọng.

Bối cảnh và hàm ý: Các mối đe dọa RDP tiềm ẩn

Thời điểm chiến dịch và mục tiêu giáo dục

Thời điểm của chiến dịch này dường như được tính toán kỹ lưỡng để trùng với mùa tựu trường ở Mỹ. Các tổ chức giáo dục thường đưa nhiều hệ thống phòng thí nghiệm hỗ trợ RDP và dịch vụ truy cập từ xa trực tuyến vào cuối tháng 8. Đồng thời, họ cũng thêm hàng ngàn tài khoản người dùng mới. Các môi trường này thường sử dụng các định dạng tên người dùng dễ đoán, như ID sinh viên hoặc kết hợp tên.họ, làm cho các cuộc tấn công liệt kê tài khoản đặc biệt hiệu quả và gia tăng rủi ro bảo mật.

Liên hệ với các lỗ hổng RDP trước đây

Lỗ hổng BlueKeep năm 2019 (CVE-2019-0708) cung cấp một tiền lệ đáng lo ngại, cho thấy việc quét RDP rộng rãi có thể nhanh chóng chuyển sang khai thác hàng loạt một khi các phương pháp tấn công khả thi xuất hiện. Nghiên cứu của GreyNoise cho thấy 80% các đợt tăng đột biến quét hệ thống tập trung vào công nghệ đều đi trước việc phát hiện các lỗ hổng mới trong vòng sáu tuần. Điều này gợi ý rằng chiến dịch hiện tại có thể báo hiệu các tiết lộ bảo mật liên quan đến RDP sắp tới. Tìm hiểu thêm chi tiết về chiến dịch này từ GreyNoise.

RDP trong các hoạt động gián điệp mạng

Các báo cáo tình báo mối đe dọa gần đây cũng ghi nhận các tác nhân phức tạp lợi dụng RDP cho các hoạt động gián điệp. Các nhóm có liên hệ với Nga đã sử dụng các khả năng RDP ít được biết đến hơn để đánh cắp dữ liệu chống lại các mục tiêu quân sự và chính phủ châu Âu. Điều này chứng minh giá trị của giao thức này vượt ra ngoài việc truy cập từ xa đơn giản và là một vector tiềm năng cho các tấn công mạng tinh vi.

Khuyến nghị bảo mật và biện pháp phòng ngừa

Các nhóm bảo mật cần ưu tiên các biện pháp tăng cường bảo mật RDP. Đồng thời, cần chuẩn bị các quy trình ứng phó sự cố cho các cuộc tấn công mạng tiếp theo tiềm năng. Các cuộc tấn công này có thể tận dụng dữ liệu trinh sát đã thu thập được trong hoạt động quét RDP quy mô lớn này. Việc triển khai xác thực đa yếu tố (MFA), giới hạn truy cập RDP từ các IP đáng tin cậy, và giám sát chặt chẽ nhật ký truy cập RDP là những bước thiết yếu để giảm thiểu rủi ro bảo mật.